IpSec ile İnternet Yasaklama

Günümüzde en çok karşılaştığımız isteklerin  başında İnternet erişiminin kontrol edilmesi gelmektedir . Yani şirket içerisinde departman bazında veya kullanıcı bazında yetkilendirme yapmak en temel ihtiyaçların arasındadır. Bunu yapmanın pek çok yolu elimizdeki kaynak ve imkânlarla sınırlıdır. Biz bu makalemizde GPO üzerinden IPSEC policy ile nasıl yapılacağını inceleyeceğiz. Makalemize başlamadan önce IPSEC hakkında kısa bilgi vermekte fayda var; IPSEC IETF (internet engineering task force) tarafından kabul edilen bir protokoldür şifre doğrulama ve IP şifreleme özellikleri vardır. VPN çözümleri ile tam uyumludur.2 farkı moda çalışır bunlar “Tunneling mode” ve “İletim Mode” şeklindedir.(IPSEC AH) ve (IPSEC ESP) İpsec AH methodu Ip header ve payload arasına yerleşmektedir, İpsec ESP de ise bir önceki methoda ek olarak “MAC” adresleri paketin sonuna eklenir. IPSEC hakkında detaylı bilgi için;

 

Öncelikle kuralın uygulanması için gerekli adımları hazırlıyoruz yani hangi bilgisayar hangi kullanıcılar etkilenecek ise bunları bir OU altına toplamakla ve policy atamakla başlamalıyız bunların olduğunu varsayarak makalemize devam ediyoruz. İşlem yapacağımız Policy üzerinde sırasıyla>IPSEC policy sağ click>Create IPSEC policy

 

 Sekil -1 HTTP,HTTPS protokollerini etkileyecek kuralımızı hazırlamaya başlıyoruz

clip_image002

 

Sekil -2 de Kimlik Doğrulama Turu Gösterilmektedir.

 

Biz Kimlik Doğrulama olarak KERBEROS kullanacağız, eğer sistemimizde “CA” kurulu ise sertifika methodu kullanabilir ve bunu preshared key ile de güçlendirebiliriz.  

clip_image003

 

Sekil -3 de yeni oluşturulacak IPSEC RULE

 

Sekil -4 de kuralın TUNEL ilişkisi olmadığını belirtmekteyiz.

 

clip_image005

 

Sekil -5 de hangi networkları etkileyeceği belirtilmektedir.  

clip_image006

Sekil -6 da yeni oluşturacağımız IP FILTER

clip_image007

Sekil -7

clip_image008

 

Sekil -8 de Kaynak Adres secimi belirtilmektedir

clip_image009

Sekil -9 da Kuralın işleyeceği Hedef Adres belirtilmektedir

clip_image011

 

¦lt;br /> Sekil -10 da Kullanılacak protokol belirtilmektedir

 

Bizim uygulamamız HTTP,HTTPS protokolleri için olacağından TCP seçerek devam ediyoruz

clip_image012

Sekil -11 de PORT belirtilmektedir 

Yine uygulamamız gereği HTTP için 80 portu belirtilmektedir next ve ok dedikten sonra HTTPS için 5-11 adımları 443 portu için yinelemeliyiz!

 

clip_image013
Policy’miz ve FILTER’ımız tamam şimdi ise bunları etkşleyecek action’ı belirlememiz lazım yani Permit(izin mi)Yoksa Block(engellememi)bizim amacımız engellemek olduğu için Action olarak block tanımlamamız lazım.

 

 

clip_image014  

 clip_image015

 

 

 Sekil -14 de FILTERIMIZI block Action atıyoruz 

clip_image016  

clip_image017

Sekil 16

Ve son olarak oluşturduğumuz IPSEC policy üzerinde sağ click assign diyoruz ve sunucu tarafından gpupdate /force ile Policy’mizi tetikliyor client tarafında sistemi rest art ediyor ve sonucu beraber inceliyoruz.  

clip_image019  

 

clip_image020

Sonuç olarak Policy’imizin çalıştığı görülmektedir, Küçük ve ORTA ölçekli ve Yönetimden Para Koparamayan ) biz IT ciler için kimi zaman yararlı olabileceğini düşündüğüm bu çalışmayı istifadelerinize sunuyorum

Birol AYDUGAN 

 

 

Test için terminal makinelerimizin herhangi birinden login oluyoruz ben “Exchange 2007 OU su altında baydugan kullanıcım ilgili IPSEC policy den etkilenmesini istediğim kullanıcıdır.  

 

 

 

 

 

Sekil -12 de HTTP gibi HTTPS filter gözükmektedir

 

 

 

Yeni bir Rule oluşturmak için “ADD” butonuna basıyor ve next diyoruz  

¦lt;br /> clip_image004

 

 

 

 

clip_image001

https://technet2.microsoft.com/windowsserver/en/library/2a2f7792-5a4a-438b-8711-23694ae56e3a1033.mspx?mfr=true